6 сентября были опубликованы утвержденные и зарегистрированные в Минюсте 3 (из шести) приказа ФСБ, касающиеся ГосСОПКИ.
Приказ №366 "О Национальном координационном центре по компьютерным инцидентам" превозносится в российских СМИ как абсолютно новая структура, которая придет на смену ЦИБ, и которая начнет бороться с хакерами всех мастей. Журналистам и отдельным экспертам невдомек, что эта структура существовала уже давно и просто настал черед формализовать ее работу в рамках закона "О безопасности критической информационной инфраструктуры", что и произошло. Ничего выдающегося в утверждем приказе я не увидел. НКЦКИ координирует, организует, собирает, обеспечивает методическую помощь, участвует... и т.п.
Второй приказ, №367, "Об утверждении Перечня информации, предоставляемой в ГосСОПКУ и Порядка предоставления информации в ГосСОПКУ" также не претерпел изменений по сравнению с проектом. Я про него уже писал и делал презентацию. Вопросы по данному приказу также остаются пока без ответа. Оценить причинно-следственные связи между атакой и инцидентов, да еще и оценить последствия... и все это в течение 24 часов?! Круто, ничего не скажешь.
Наконец, третий приказ, под номером №368, утверждает порядок обмена информацией об инцидентах, а также порядок получения субъектами КИИ информации о методах атак, способах их предупреждения и обнаружения. И он тоже практически не изменился по сравнению со своим проектом. Ни слова о форматах и протоколах обмена информацией :-( Ни слова о том, что делать участникам международных платежных систем или дочерним предприятиям иностранных организаций, которые должны оперативно отправлять данные об инцидентах, а теперь вынуждены это делать только через НКЦКИ и без гарантии, что НКЦКИ не заблокирует такую передачу, посчитав ее угрозой национальной безопасности (как бы еще и в разглашении гостайны не обвинили). Оставшиеся документы планируется выпустить не раньше конца года, что означает, что процесс бюджетирования пройдет уже без них.
Грустно все это. Разрабатывать документы почти год и получить на выходе пшик :-( Я не знаю с чем это связано. Неким показателем лично для меня должны стать шесть методических документов, о которых написал Валерий Комаров и которые сейчас готовит НКЦКИ:
Приказ №366 "О Национальном координационном центре по компьютерным инцидентам" превозносится в российских СМИ как абсолютно новая структура, которая придет на смену ЦИБ, и которая начнет бороться с хакерами всех мастей. Журналистам и отдельным экспертам невдомек, что эта структура существовала уже давно и просто настал черед формализовать ее работу в рамках закона "О безопасности критической информационной инфраструктуры", что и произошло. Ничего выдающегося в утверждем приказе я не увидел. НКЦКИ координирует, организует, собирает, обеспечивает методическую помощь, участвует... и т.п.
Второй приказ, №367, "Об утверждении Перечня информации, предоставляемой в ГосСОПКУ и Порядка предоставления информации в ГосСОПКУ" также не претерпел изменений по сравнению с проектом. Я про него уже писал и делал презентацию. Вопросы по данному приказу также остаются пока без ответа. Оценить причинно-следственные связи между атакой и инцидентов, да еще и оценить последствия... и все это в течение 24 часов?! Круто, ничего не скажешь.
Наконец, третий приказ, под номером №368, утверждает порядок обмена информацией об инцидентах, а также порядок получения субъектами КИИ информации о методах атак, способах их предупреждения и обнаружения. И он тоже практически не изменился по сравнению со своим проектом. Ни слова о форматах и протоколах обмена информацией :-( Ни слова о том, что делать участникам международных платежных систем или дочерним предприятиям иностранных организаций, которые должны оперативно отправлять данные об инцидентах, а теперь вынуждены это делать только через НКЦКИ и без гарантии, что НКЦКИ не заблокирует такую передачу, посчитав ее угрозой национальной безопасности (как бы еще и в разглашении гостайны не обвинили). Оставшиеся документы планируется выпустить не раньше конца года, что означает, что процесс бюджетирования пройдет уже без них.
Грустно все это. Разрабатывать документы почти год и получить на выходе пшик :-( Я не знаю с чем это связано. Неким показателем лично для меня должны стать шесть методических документов, о которых написал Валерий Комаров и которые сейчас готовит НКЦКИ:
- Требования к подразделениям и должностным лицам субъекта ГосСОПКа.
- Регламент информационного взаимодействия.
- Методические рекомендации по обнаружению компьютерных атак на информационные ресурсы.
- Методические рекомендации по установлению причин и ликвидации последствий компьютерных атак.
- Методические рекомендации по проведению мероприятий по оценке защищенности от компьютерных атак.
- Варианты организации защищенного канала.
Если они будут адекватными и практичными, то можно будет говорить, что на выпуск шести официальных приказов повлияла рука юристов ФСБ, которая выхолостила все до максимума, прекратив документы "в тыкву". Если же и методички будут на том же уровне, то это уже проблема системная :-(
Алексей, а можете назвать хотя бы один "адекватный и практичный" документ ФСБ? В котором было бы ясно сказано что и как нужно сделать?
ОтветитьУдалитьУдар поддых :-(
ОтветитьУдалитьАлексей!
ОтветитьУдалитьСначала все-таки структуру нужно официально объявить и описать круг ее полномочий. Было не очевидно, что НКЦКИ будет вправе писать рекомендации и методические документы. Сейчас это закреплено приказом - можно заниматься и подготовкой других документов..
И, кстати, по первому вопросу в связи с платежными системами. В приказе №368 есть лазейка в виде международного договора, при использовании которого разрешается прямое взаимодействие с международными и иностранными организациями. Платежные системы функционируют явно по подобным договорам, поэтому для них приказ не указ...
ОтветитьУдалитьТам другая непонятка. В порядке явно не указаны коммерческие компании. Означает ли это, что субъект КИИ вправе передавать сведения об инцидентах, например, вам в Cisco?
Валерий: документы им никто не мешал писать и так - просто выпускать мх можно было от имени ФСБ :-) Было бы что выпускать.
ОтветитьУдалитьА вот насчет работы МПС я совсем не уверен, что они работают под международным договором. Это спорный вопрос. А вот насчет коммерческих компаний, это да, старая проблема. Они и коммерческим SOCам не имеют права передавать, если те не являются субъектами КИИ. Но это ограничение не приказов ФСБ, а ФЗ-187, который такую норму имеет.